Kohët e fundit, kompania kërkimore Javelin Strategy & Research publikoi një raport, "Gjendja e Autentifikimit të Fortë 2019". Krijuesit e tij mblodhën informacione rreth metodave të vërtetimit që përdoren në mjediset e korporatave dhe aplikacionet e konsumatorit, dhe gjithashtu nxorën përfundime interesante për të ardhmen e vërtetimit të fortë.
Përkthimi i pjesës së parë me konkluzionet e autorëve të raportit, ne . Dhe tani ju paraqesim në vëmendjen tuaj pjesën e dytë - me të dhëna dhe grafikë.
Nga përkthyesi
Nuk do ta kopjoj plotësisht të gjithë bllokun me të njëjtin emër nga pjesa e parë, por prapë do të kopjoj një paragraf.
Të gjitha shifrat dhe faktet paraqiten pa ndryshimet më të vogla, dhe nëse nuk jeni dakord me to, atëherë është më mirë të debatoni jo me përkthyesin, por me autorët e raportit. Dhe këtu janë komentet e mia (të paraqitura si citime dhe të shënuara në tekst italisht) janë gjykimi im i vlerës dhe do të jem i lumtur të argumentoj për secilën prej tyre (si dhe për cilësinë e përkthimit).
Autentifikimi i përdoruesit
Që nga viti 2017, përdorimi i vërtetimit të fortë në aplikacionet e konsumatorit është rritur ndjeshëm, kryesisht për shkak të disponueshmërisë së metodave të vërtetimit kriptografik në pajisjet mobile, megjithëse vetëm një përqindje pak më e vogël e kompanive përdorin vërtetim të fortë për aplikacionet e internetit.
Në përgjithësi, përqindja e kompanive që përdorin vërtetim të fortë në biznesin e tyre u trefishua nga 5% në 2017 në 16% në 2018 (Figura 3).
Aftësia për të përdorur vërtetim të fortë për aplikacionet në ueb është ende e kufizuar (për faktin se vetëm versionet shumë të reja të disa shfletuesve mbështesin ndërveprimin me argumentet kriptografike, megjithatë ky problem mund të zgjidhet duke instaluar softuer shtesë si p.sh. ), kështu që shumë kompani përdorin metoda alternative për vërtetimin në internet, të tilla si programe për pajisje celulare që gjenerojnë fjalëkalime një herë.
Çelësat kriptografikë të harduerit (këtu nënkuptojmë vetëm ato që përputhen me standardet FIDO), të tilla si ato të ofruara nga Google, Feitian, One Span dhe Yubico mund të përdoren për vërtetim të fortë pa instaluar softuer shtesë në kompjuterë desktop dhe laptopë (sepse shumica e shfletuesve tashmë mbështesin standardin WebAuthn nga FIDO), por vetëm 3% e kompanive e përdorin këtë veçori për të hyrë në përdoruesit e tyre.
Krahasimi i shenjave kriptografike (si ) dhe çelësat sekret që punojnë sipas standardeve FIDO është përtej qëllimit të këtij raporti, por edhe komenteve të mia për të. Shkurtimisht, të dy llojet e shenjave përdorin algoritme dhe parime të ngjashme funksionimi. Shenjat FIDO aktualisht mbështeten më mirë nga shitësit e shfletuesve, megjithëse kjo së shpejti do të ndryshojë pasi më shumë shfletues mbështesin . Por shenjat klasike kriptografike mbrohen nga një kod PIN, mund të nënshkruajnë dokumente elektronike dhe të përdoren për vërtetim me dy faktorë në Windows (çdo version), Linux dhe Mac OS X, kanë API për gjuhë të ndryshme programimi, duke ju lejuar të zbatoni 2FA dhe elektronike nënshkrimi në aplikacionet desktop, celular dhe ueb, dhe argumentet e prodhuara në Rusi mbështesin algoritmet ruse GOST. Në çdo rast, një shenjë kriptografike, pavarësisht se me çfarë standardi është krijuar, është metoda më e besueshme dhe më e përshtatshme e vërtetimit.
Përtej sigurisë: Përfitime të tjera të vërtetimit të fortë
Nuk është çudi që përdorimi i vërtetimit të fortë është i lidhur ngushtë me rëndësinë e të dhënave që ruan një biznes. Kompanitë që ruajnë informacione të ndjeshme personale të identifikueshme (PII), të tilla si numrat e Sigurimeve Shoqërore ose Informacionet e Shëndetit Personal (PHI), përballen me presionin më të madh ligjor dhe rregullator. Këto janë kompanitë që janë përkrahësit më agresivë të vërtetimit të fortë. Presioni mbi bizneset rritet nga pritshmëritë e klientëve që duan të dinë se organizatat të cilave u besojnë të dhënat e tyre më të ndjeshme përdorin metoda të forta vërtetimi. Organizatat që trajtojnë PII ose PHI të ndjeshme kanë më shumë se dy herë më shumë gjasa të përdorin vërtetim të fortë sesa organizatat që ruajnë vetëm informacionin e kontaktit të përdoruesve (Figura 7).
Fatkeqësisht, kompanitë nuk janë ende të gatshme të zbatojnë metoda të forta vërtetimi. Gati një e treta e vendimmarrësve të biznesit i konsiderojnë fjalëkalimet metodën më efektive të vërtetimit midis të gjitha atyre të listuara në Figurën 9, dhe 43% i konsiderojnë fjalëkalimet metodën më të thjeshtë të vërtetimit.
Ky grafik na dëshmon se zhvilluesit e aplikacioneve të biznesit në mbarë botën janë të njëjtë... Ata nuk e shohin përfitimin e zbatimit të mekanizmave të avancuar të sigurisë së aksesit në llogari dhe ndajnë të njëjtat keqkuptime. Dhe vetëm veprimet e rregullatorëve mund ta ndryshojnë situatën.
Le të mos prekim fjalëkalimet. Por çfarë duhet të besoni për të besuar se pyetjet e sigurisë janë më të sigurta se argumentet kriptografike? Efektiviteti i pyetjeve të kontrollit, të cilat thjesht përzgjidhen, u vlerësua në 15%, dhe jo argumentet e hakeruara - vetëm 10. Të paktën shikoni filmin "Iluzioni i mashtrimit", ku, edhe pse në një formë alegorike, tregohet se sa lehtë magjistarët tërhoqi të gjitha gjërat e nevojshme nga një biznesmen-mashtrues përgjigjet dhe e la pa para.
Dhe një fakt tjetër që thotë shumë për kualifikimet e atyre që janë përgjegjës për mekanizmat e sigurisë në aplikacionet e përdoruesve. Në kuptimin e tyre, procesi i futjes së një fjalëkalimi është një operacion më i thjeshtë sesa vërtetimi duke përdorur një shenjë kriptografike. Megjithëse, duket se mund të jetë më e thjeshtë të lidhni shenjën me një port USB dhe të vendosni një kod të thjeshtë PIN.
E rëndësishmja, zbatimi i vërtetimit të fortë i lejon bizneset të largohen nga të menduarit për metodat e vërtetimit dhe rregullat operative të nevojshme për të bllokuar skemat mashtruese për të përmbushur nevojat reale të klientëve të tyre.
Ndërsa pajtueshmëria rregullatore është një përparësi e arsyeshme kryesore si për bizneset që përdorin vërtetim të fortë ashtu edhe për ato që nuk e përdorin, kompanitë që tashmë përdorin vërtetim të fortë kanë shumë më tepër gjasa të thonë se rritja e besnikërisë së klientit është një metrikë më e rëndësishme që ata marrin parasysh kur vlerësojnë një vërtetim metodë. (18% kundrejt 12%) (Figura 10).
Autentifikimi i ndërmarrjes
Që nga viti 2017, miratimi i vërtetimit të fortë në ndërmarrje është në rritje, por me një ritëm pak më të ulët se sa për aplikacionet e konsumatorit. Përqindja e ndërmarrjeve që përdorin vërtetim të fortë u rrit nga 7% në 2017 në 12% në 2018. Ndryshe nga aplikacionet e konsumatorit, në mjedisin e ndërmarrjes përdorimi i metodave të vërtetimit pa fjalëkalim është disi më i zakonshëm në aplikacionet në ueb sesa në pajisjet celulare. Rreth gjysma e bizneseve raportojnë se përdorin vetëm emrat e përdoruesve dhe fjalëkalimet për të vërtetuar përdoruesit e tyre kur identifikohen, me një në pesë (22%) që gjithashtu mbështetet vetëm në fjalëkalimet për vërtetimin dytësor kur akseson të dhënat e ndjeshme (domethënë, përdoruesi fillimisht hyn në aplikacion duke përdorur një metodë vërtetimi më të thjeshtë dhe nëse dëshiron të ketë akses në të dhënat kritike, ai do të kryejë një procedurë tjetër vërtetimi, këtë herë zakonisht duke përdorur një metodë më të besueshme.).
Duhet të kuptoni se raporti nuk merr parasysh përdorimin e shenjave kriptografike për vërtetimin me dy faktorë në sistemet operative Windows, Linux dhe Mac OS X. Dhe ky është aktualisht përdorimi më i përhapur i 2FA. (Mjerisht, shenjat e krijuara sipas standardeve FIDO mund të zbatojnë 2FA vetëm për Windows 10).
Për më tepër, nëse zbatimi i 2FA në aplikacionet online dhe celular kërkon një sërë masash, duke përfshirë modifikimin e këtyre aplikacioneve, atëherë për të zbatuar 2FA në Windows ju duhet vetëm të konfiguroni PKI (për shembull, bazuar në Serverin e Certifikimit të Microsoft) dhe politikat e vërtetimit në pas Krishtit.
Dhe meqenëse mbrojtja e hyrjes në një kompjuter dhe domen pune është një element i rëndësishëm i mbrojtjes së të dhënave të korporatës, zbatimi i vërtetimit me dy faktorë po bëhet gjithnjë e më i zakonshëm.
Dy metodat e ardhshme më të zakonshme për vërtetimin e përdoruesve kur identifikohen janë fjalëkalimet e njëhershme të ofruara përmes një aplikacioni të veçantë (13% e bizneseve) dhe fjalëkalimet një herë të dorëzuar përmes SMS (12%). Pavarësisht se përqindja e përdorimit të të dyja metodave është shumë e ngjashme, OTP SMS përdoret më shpesh për të rritur nivelin e autorizimit (në 24% të kompanive). (Figura 12).
Rritja e përdorimit të vërtetimit të fortë në ndërmarrje ka të ngjarë t'i atribuohet disponueshmërisë së shtuar të zbatimeve të vërtetimit kriptografik në platformat e menaxhimit të identitetit të ndërmarrjes (me fjalë të tjera, sistemet SSO dhe IAM të ndërmarrjeve kanë mësuar të përdorin tokenat).
Për vërtetimin celular të punonjësve dhe kontraktorëve, ndërmarrjet mbështeten më shumë në fjalëkalimet sesa për vërtetimin në aplikacionet e konsumatorit. Pak më shumë se gjysma (53%) e ndërmarrjeve përdorin fjalëkalime kur vërtetojnë aksesin e përdoruesit në të dhënat e kompanisë përmes një pajisjeje celulare (Figura 13).
Në rastin e pajisjeve celulare, do të besohej në fuqinë e madhe të biometrikës, nëse jo për rastet e shumta të gjurmëve të gishtave, zërave, fytyrave dhe madje edhe irisave të rreme. Një pyetje e motorit të kërkimit do të zbulojë se një metodë e besueshme e vërtetimit biometrik thjesht nuk ekziston. Sensorë vërtet të saktë, natyrisht, ekzistojnë, por ato janë shumë të shtrenjta dhe të mëdha në madhësi - dhe nuk janë të instaluar në telefonat inteligjentë.
Prandaj, e vetmja metodë që funksionon 2FA në pajisjet celulare është përdorimi i shenjave kriptografike që lidhen me smartphone përmes ndërfaqeve NFC, Bluetooth dhe USB Type-C.
Mbrojtja e të dhënave financiare të një kompanie është arsyeja kryesore për të investuar në vërtetimin pa fjalëkalim (44%), me rritjen më të shpejtë që nga viti 2017 (një rritje prej tetë pikë përqindjeje). Kjo pasohet nga mbrojtja e pronësisë intelektuale (40%) dhe të dhënat e personelit (HR) (39%). Dhe është e qartë pse - jo vetëm që vlera e lidhur me këto lloj të dhënash njihet gjerësisht, por relativisht pak punonjës punojnë me to. Kjo do të thotë, kostot e zbatimit nuk janë aq të mëdha dhe vetëm pak njerëz duhet të trajnohen për të punuar me një sistem vërtetimi më kompleks. Në të kundërt, llojet e të dhënave dhe pajisjeve që shumica e punonjësve të ndërmarrjes aksesojnë në mënyrë rutinore janë ende të mbrojtura vetëm me fjalëkalime. Dokumentet e punonjësve, stacionet e punës dhe portalet e postës elektronike të korporatave janë zonat me rrezik më të madh, pasi vetëm një e katërta e bizneseve i mbrojnë këto asete me vërtetim pa fjalëkalim (Figura 14).
Në përgjithësi, emaili i korporatës është një gjë shumë e rrezikshme dhe e paqartë, shkalla e rrezikut të mundshëm të së cilës nënvlerësohet nga shumica e CIO-ve. Punonjësit marrin dhjetëra email çdo ditë, kështu që pse të mos përfshini mes tyre të paktën një email phishing (d.m.th., mashtrues). Kjo letër do të formatohet në stilin e letrave të kompanisë, kështu që punonjësi do të ndihet rehat duke klikuar në lidhjen në këtë letër. Epo, atëherë çdo gjë mund të ndodhë, për shembull, shkarkimi i një virusi në makinën e sulmuar ose rrjedhja e fjalëkalimeve (përfshirë përmes inxhinierisë sociale, duke futur një formular vërtetimi të rremë të krijuar nga sulmuesi).
Për të parandaluar që gjëra të tilla të ndodhin, emailet duhet të nënshkruhen. Atëherë do të jetë menjëherë e qartë se cila letër është krijuar nga një punonjës legjitim dhe cila nga një sulmues. Në Outlook/Exchange, për shembull, nënshkrimet elektronike kriptografike të bazuara në token aktivizohen mjaft shpejt dhe lehtë dhe mund të përdoren së bashku me vërtetimin me dy faktorë në PC dhe domene Windows.
Midis atyre drejtuesve që mbështeten vetëm në vërtetimin e fjalëkalimit brenda ndërmarrjes, dy të tretat (66%) e bëjnë këtë sepse besojnë se fjalëkalimet ofrojnë siguri të mjaftueshme për llojin e informacionit që kompania e tyre duhet të mbrojë (Figura 15).
Por metodat e forta të vërtetimit po bëhen më të zakonshme. Kryesisht për faktin se disponueshmëria e tyre po rritet. Një numër në rritje i sistemeve, shfletuesve dhe sistemeve operative të menaxhimit të identitetit dhe aksesit (IAM) mbështesin vërtetimin duke përdorur shenja kriptografike.
Autentifikimi i fortë ka një avantazh tjetër. Meqenëse fjalëkalimi nuk përdoret më (zëvendësohet me një PIN të thjeshtë), nuk ka kërkesa nga punonjësit që t'u kërkojnë atyre të ndryshojnë fjalëkalimin e harruar. E cila nga ana tjetër zvogëlon ngarkesën në departamentin e IT të ndërmarrjes.
Rezultatet dhe përfundimet
- Menaxherët shpesh nuk kanë njohuritë e nevojshme për të vlerësuar reale efektiviteti i opsioneve të ndryshme të vërtetimit. Ata janë mësuar t'u besojnë atyre i vjetëruar metodat e sigurisë si fjalëkalimet dhe pyetjet e sigurisë thjesht sepse "ka funksionuar më parë".
- Përdoruesit e kanë ende këtë njohuri më pak, për ta kryesorja është thjeshtësia dhe komoditeti. Përderisa nuk kanë nxitje për të zgjedhur zgjidhje më të sigurta.
- Zhvilluesit e aplikacioneve me porosi shpesh asnjë arsyepër të zbatuar vërtetimin me dy faktorë në vend të vërtetimit të fjalëkalimit. Konkurrenca në nivelin e mbrojtjes në aplikacionet e përdoruesve jo.
- Përgjegjësia e plotë për hakimin zhvendosur te përdoruesi. I dha fjalëkalimin një herë sulmuesit - është për t'u fajësuar. Fjalëkalimi juaj u përgjua ose u spiunua - është për t'u fajësuar. Nuk kërkoi që zhvilluesi të përdorte metoda të besueshme vërtetimi në produkt - është për t'u fajësuar.
- e drejtë rregullator para së gjithash duhet t'u kërkojë kompanive të zbatojnë zgjidhje që bllokoj rrjedhjet e të dhënave (në veçanti vërtetimi me dy faktorë), në vend të ndëshkimit tashmë ka ndodhur rrjedhje e të dhënave.
- Disa zhvillues softuerësh po përpiqen t'ua shesin konsumatorëve e vjetër dhe jo veçanërisht e besueshme zgjidhje në paketim të bukur produkt "inovativ". Për shembull, vërtetimi duke u lidhur me një smartphone specifik ose duke përdorur biometrikë. Siç shihet nga raporti, sipas vërtetë të besueshme Mund të ketë vetëm një zgjidhje të bazuar në vërtetimin e fortë, domethënë shenjat kriptografike.
- E njëjta mund të përdoret token kriptografik për një sërë detyrash: për vërtetim i fortë në sistemin operativ të ndërmarrjes, në aplikacionet e korporatave dhe përdoruesve, për nënshkrim elektronik transaksionet financiare (të rëndësishme për aplikimet bankare), dokumentet dhe emailet.
Burimi: www.habr.com